Tark töö
Чтение на 1 мин
Уровень кибербезопасности средней эстонской компании мог бы быть гораздо выше, считает Кристьян Кукк, руководитель подразделения бизнес-клиентов Telia. Может быть, пора установить минимальные требования к кибербезопасности для предприятий?
Что такое безопасность? В начале 1990-х было четкое понимание: безопасность – это железная дверь с надежным замком, поставленная перед квартирой, она защищает гораздо лучше, чем прежняя деревянная дверь с замком Vasar. Мир менялся с невероятной скоростью, и двери должны были идти в ногу со временем, свежесозданные фирмы тоже тщательно следовали требованиям новой эпохи: в фойе офиса стоял охранник в черном костюме и кобурой на поясе, менеджер по безопасности тогда был таким же естественным членом правления, как, например, финансовый менеджер сегодня.
Изменения в обществе в 1990-х годах были стремительными, но нынешняя эпоха не слишком от них отстает. Тот же вопрос «Что такое безопасность?» необходимо задавать и сегодня, но ответ, к сожалению, уже не настолько очевиден, как в прошлые десятилетия.
В правлениях современных фирм больше нет менеджеров по безопасности, но также зачастую нет и должности, отвечающей за кибербезопасность. Физическая безопасность по-прежнему имеет первостепенное значение, потому что в конечном итоге не будет и кибербезопасности, если любой может просто войти в офис и получить доступ к любому ИТ-устройству. Однако ясно, что кибербезопасности следует уделять гораздо больше внимания, чем раньше.
Опасность не замечают, пока не будет слишком поздно
Вопросы кибербезопасности находятся в образцовом порядке примерно лишь у горстки крупных эстонских предприятий – например, это банки и торговые сети. В целом к правилам кибербезопасности очень серьезно относятся те компании, для которых существует значительный риск репутационного ущерба. Другие предприятия относятся к киберугрозам чуть снисходительнее, а среди малого бизнеса несознательности еще больше.
Ни одно предприятие сегодня не работает в гордом одиночестве. Наоборот, разные фирмы и бизнес-проекты тесно связаны друг с другом, а это значит, что уязвимость одной компании может открыть дверь для атаки на другую.
Процессы среднего эстонского предприятия можно значительно улучшить с точки зрения кибербезопасности. Фирма, которая безразлична к своим (клиентским) данным или ИТ-инструментам, не может быть безопасным партнером для других компаний. Что это значит? Мы знаем, что некоторые эстонские предприятия со спокойной душой работают с программным обеспечением, в котором не установлены все доступные исправления безопасности. Также не редкость предприятия, в своей повседневной работе использующие операционные системы, для которых больше не выпускаются обновления – например, Windows 7. Это хорошая и удобная система, и ее плохие стороны не проявляются до тех пор, пока в нее не проникнет злоумышленник. Немало и таких предприятий, которые впускают сотрудников во внутреннюю сеть без двухфакторной аутентификации, то есть для авторизации достаточно одного пароля на одном устройстве. Такое отношение уже не соответствует современной оценке угроз.
Компании часто не используют возможности для защиты своих серверов, такие как мониторинг сетевого трафика, которые могут сильно помочь в обнаружении злоумышленников. Самое главное, сотрудников и близко не обучают в той степени, в которой можно и нужно. Сотрудник, не владеющий основами кибербезопасности и нажимающий на все ссылки подряд, может стать источником серьезной угрозы для предприятия.
Война России против Украины еще больше усложняет ситуацию. По данным Центар информационных технологий и развития Министерства внутренних дел, кибератаки на поставщиков жизненно важных услуг за время войны увеличились в пять раз.
Так что же делать? Нельзя сделать все и сразу, но нужно с чего-то начать. В качестве первого шага можно было бы спокойно подумать – каков минимальный уровень кибербезопасности, при соблюдении которого предприятие может считаться «безопасной» стороной для клиентов и партнеров, по крайней мере в широком смысле.
Как вообще понять, является ли безопасной фирма, претендующая на роль партнера? В финансовой сфере все несколько проще: если компания систематически не сдает годовые отчеты, это уже свидетельствует о внутренней культуре и общей административной дееспособности предприятия. Опытный финансист может многое почерпнуть из отчета, с помощью чего компания может наметить свои следующие шаги. Однако кибербезопасность на данный момент совершенно непрозрачна.
В настоящее время государство подает хороший пример тем, что вскоре вступит в силу Эстонский стандарт информационной безопасности (E-ITS), который обеспечивает комплексную защиту бизнес-процессов и информационных систем, используемых для выполнения публичных задач. E-ITS придет на замену ISKE – аналогичному стандарту, который действует уже 20 лет.
Минимальный уровень безопасности
Не пора ли уже окончательно и однозначно установить этот минимальный уровень, как и в случае с годовым отчетом? Параллельно с этим, так же, как отрицательный собственный капитал требует внимания, необходимо решить проблему обучения сотрудников. В конце концов, кибербезопасность – это не только личное дело одного предприятия, но и более серьезная проблема: без кибергигиены не может существовать устойчивая бизнес-среда, без нее невозможна и общественная безопасность в более широком смысле.
Кто должен оценивать, кто должен решать, кто должен проверять? Telia готова предоставить свою компетенцию для участия в разработке минимальных требований, а также для разъяснения, зачем они вообще нужны. Одной из возможностей было бы получение соответствующего сертификата каждой эстонской компанией, отвечающей минимальным требованиям: это кибербезопасная фирма, в их руках ваши данные защищены, с их сервера не исходят атаки вредоносных программ, они знают, кто входит в сеть.
Это не значит, что другие, несертифицированные предприятия обязательно хуже, они могут быть и лучше, но еще не дошли до сертификации. Просто нужно быть внимательнее при общении и обмене данными с этими компаниями, чтобы понимать размер и характер риска.
Должен ли этот минимальный стандарт применяться на государственном уровне, что он должен содержать, кто и как должен обеспечивать его соблюдение, или же он может быть добровольным? Все это нужно обдумать и решить.
Мы в Telia верим, что время пришло, и мы готовы начать.
Кристьян Кукк, руководитель подразделения бизнес-клиентов Telia
